安全协议 认证协议

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Click to edit Master title style,网络安全协议,第,2,讲 认证协议,经典认证协议,主要内容,1,针对经典认证协议的攻击,2,其他重要的认证协议,3,认证协议的设计原则,4,认证协议是网络安全的一个重要组成部分，需要通过认证协议进行实体之间的认证、在实体之间安全地分配密钥或其他各种秘密、确认发送和接受的消息的非否认性等。近年来，认证协议越来越多地用于保护因特网上传送的各种交易，保护针对计算机系统的访问。但是经验表明，设计和分析一个正确的认证协议是一项十分困难任务。迄今所知的许多协议都存在这样或那样的安全缺陷，其原因是多方面的，例如，缺乏正确设计认证协议的指导原则；对认证协议进行非形式化的推理分析；缺乏有力地分析认证协议的形式化工具；没有考虑到针对认证协议的多种攻击类型等。因此，目前的状况大体是：设计一个认证协议,发现其安全缺陷,改进该协议,发现新的安全缺陷,进一步改进该协议,1997,年,Clark,和,Jacob,对认证协议进行了概括和总结，并列举了一系列有研究意义和实用价值的认证协议。他们将认证协议如下进行分类：,（,1,）无可信第三方的对称密钥协议。,（,2,）应用密码校验函数的认证协议。,（,3,）具有可信第三方的对称密钥协议。,（,4,）对称密钥重复认证协议。,（,5,）无可信第三方的公开密钥协议。,（,6,）具有可信第三方的公开密钥协议。,1.,经典认证协议,本节介绍几个典型的经典认证协议，他们的共同特点是：都是早期设计的认证协议，反映了当时的设计和分析水平。它们或多或少都存在一些安全缺陷，但是它们在认证协议的发展史中都起过重要的作用，为今天认证协议设计与分析技术的发展积累了宝贵的经验。其中，许多认证协议已经成为认证协议设计与分析的“试验床”，即每当出现一个新的形式化分析方法，都要先分析这几个认证协议，验证新方法的有效性。同时，研究人员也经常以它们为例，说明认证协议的设计原则和各种不同分析方法的特点。,Needham-Schroeder,认证协议是,1978,年提出的，在认证协议的发展史中具有历程培的意义。该协议就是一个最常用的认证协议与分析的,“,试验床,”,。它可以分为对称密码体制和非对称密码体制下的两种版本，分别简称,NSSK,协议和,NSPK,协议。,NSSK,协议的目的是在通信双方之间分配会话密钥。其中，前,3,条消息的作用是主体,A,在认证服务器,S,的帮助下，进行会话密钥的分配。后,2,条消息的目的是使,B,相信,A,现在在线，但不能使,B,相信会话密钥是新鲜的。该协议如图,2-1,所示。,B,A,S,1,2,3,4,5,图,2-1 NSSK,协议,（,1,） 针对,NSSK,协议的,“,新鲜性,”,型攻击,（,2,） 针对上述攻击的改进,解决这一问题的另一个方法是，令,B,也向,S,发送一个临时值，然后,S,将,B,的临时值放在发送给,B,的密钥证书中。,攻击,NSSK,协议的一种新方法,即使攻击者,P,没有得到泄漏的会话密钥，,A,也不能通过消息,3,、,4,、,5,推断出,B,知道会话密钥。攻击如下：,改进：,B,A,S,1,22,3,6,7,4,5,图,2-2 NSPK,协议,以其他大多数公开密钥认证协议不同，,NSPK,协议的目的是使通信双方安全地交换两个彼此独立的秘密。,针对,NSPK,协议的攻击,针对,NSPK,协议的最有名的攻击来自,Lowe,。,Lowe,指出，,NSPK,协议的主要安全缺陷在于其中的消息,6,。由于消息中没有,B,的标识符，攻击者可以假冒,B,的身份发送消息,6,。,改进后的,NSPK,协议：,Otway-Rees,协议是,1978,年提出的一种早期的认证协议。,S,A,B,1,4,22,3,图,2-3 Otway-Rees,协议,注意,：在,Otway-Rees,协议中，,M,是会话识别号；而临时值 和 不仅提供了时序信息，还因为在消息,1,和消息,2,中受到了加密保护，所以在消息,4,和消息,5,中这两个临时值作为主体身份的替身出现。,S,检查消息,2,中两个加密消息内的,M,A,B,是否一致，如果匹配，才会为,A,B,生成会话密钥 ，并向,B,发送消息,3,。,针对,Otway-Rees,协议的,“,类型缺陷,”,型攻击,“,类型攻击,”,的特点是利用认证协议实现时的固定格式对协议进行攻击。假定在,Otway-Rees,协议中，,M,的长度是,64,比特，,A,和,B,的长度各为,32,比特，会话密钥的长度为,128,比特。用户,A,在发起协议后，预期在协议的第,4,步可以收回他在协议第,1,步建立的临时值，以及认证服务器,S,为他分配的会话密钥。这时，攻击者,P,可以冒充,B,，重放消息,1,中的加密分量，将它作为消息,4,中的加密分量发送给,A,，攻击过程如下：,攻击者还可以冒充认证服务器,S,攻击,Otway-Rees,协议。这时，,P,只需将消息,2,中的加密分量重放给,B,即可。攻击过程如下：,Otway-Rees,协议,Abadi-Needham,改进版本,1,2,3,4,攻击,Otway-Rees,协议的,2,种新方法（卿斯汉发现）,（,1,）攻击原始,Otway-Rees,协议的一种新方法,该攻击的成功需要对服务器,S,进行下述假设：,（,1,）服务器,S,对,A,B,之间时间相隔很短的两次密钥申请不进行限制；,（,2,）服务器,S,只对消息,2,中两个加密消息内的会话识别号,M,及主体身份进行匹配检查，而对,A,B,之间密钥分配请求中的,M,不做记录。,（,2,）攻击,Otway-Rees,协议,Abadi-Needham,改进版本的一种新方法,1.,注意：,这种攻击的成功，也需要关于服务器,S,的如下假设成立：,S,对,A,B,之间时间间隔很短的两次密钥申请不进行限制。,1988,年提出的,Yahalom,协议是另外一个经典认证协议。该协议的特别之处在于，,A,向,S,间接发送临时值，并从,S,处直接取得会话密钥，,B,直接发送临时值，并从,S,处间接得到会话密钥。,S,A,B,3,2,4,1,图,2-4 Yahalom,协议,BAN,逻辑的分析结果与,Yahalom,协议的改进建议,应用,BAN,逻辑分析,Yahalom,协议的结果表明，如果,A,在第,4,条消息中选择一个旧密钥重放给,B,，则,B,不可能发现这个问题。为此，对,Yahalom,协议作了如下修改，修改后的协议成为,BAN- Yahalom,协议。,针对,BAN-Yahalom,协议的攻击,B,A,22,1,3,4,图,2-5 Andrew,安全,RPC,协议,针对,Andrew,安全,RPC,协议的攻击,（,1,） 针对,Andrew,安全,RPC,协议的,“,类型缺陷,”,型攻击,假设临时值、序列号与密钥的长度都相同，例如均为,128,比特，则攻击者,P,可以记录监听到的消息,2,，截获,A,发送给,B,的消息,3,，并在第,4,步重放消息,2,给,A,。攻击过程如下：,如此协议执行后，,A,相信临时值 是服务器,B,新分配给她的会话密钥，因此攻击是有效的。虽然，这时攻击者并不一定知道新的会话密钥 。但是，临时值的作用与密钥不同，绝对不能当作会话密钥使用。猜测密钥要比猜测临时值困难得多。因为，在协议的各个回合中，临时值均不相同就足够了，并不要求临时值一定是随机的。因此，临时值往往容易猜测。,（,2,） 针对,Andrew,安全,RPC,协议的,“,新鲜性,”,型攻击,攻击者,P,可以记录在协议前一个回合中监听到的消息,4,，并在第,4,步重放该消息给,A,。,“,大嘴青蛙,”,协议是由,Burrows,提出的，这是一种最简单的、应用对称密码的三方认证协议。,S,A,B,1,2,图,2-6 “,大嘴青蛙”协议,针对,“,大嘴青蛙,”,协议的攻击,这个简单的协议有多种安全缺陷，攻击它也有多种方法。一种方法是在有效的时间范围内重放第,1,个消息，其后果实将进行重新认证。第二种攻击方法需要应用,3,个协议回合，攻击过程如下：,在回合,1,中，攻击者,P,记录,A,与,B,之间的一次会话。然后，在第,2,与第,3,回合，攻击者假冒,A,与,B,从,S,处获得对他有用的消息 和,这时，攻击者,P,可以假冒,S,向,A,与,B,重放上述消息，引起,A,与,B,之间的重新认证。,2.,其他重要的认证协议,（,1,）,Helsinki,协议的描述,Helsinki,协议是国际标准,ISO/IEC DIS 11770-3,中提出的认证协议草案。,B,A,22,1,3,图,2-8 Helsinki,协议,Helsinki,协议的目标是为主体,A,和,B,安全地分配一个共享会话密钥 ，他最终由 和 和单向函数 确定，即,（,2,） 针对,Helsinki,协议的,Horng-Hsu,攻击,Horng,和,Hsu,指出，,Helsinki,协议存在安全缺陷，不能达到它的安全目标。,Horng-Hsu攻击,是一种内部攻击，即攻击者必须是合法的协议主体，而且其他合法主体希望与他通过协议分配共享通信密钥。,Horng-Hsu,攻击的过程如下：,经过上述两回合协议运行之后，主体,A,相信，他成功地完成了一次与主体,P,的会话，并获得共享会话密钥 但是主体,P,并不知道会话密钥 的组成部分 。同时，主体,B,相信，他与主体,A,成功地进行了一次会话，并获得会话密钥 。但是主体,A,并不知道会话密钥 的组成部分 。因此，攻击者,P,的攻击是有效的。,（,3,）,Mitchell-Yeun,的改进协议,Mitchell,和,Yeun,对,Helsinki,协议进行了改进。他们认为,Horng-Hsu,攻击成功的原因是,A,相信,B,发送的第,2,条消息 来源于,P,。这是因为消息,2,没有明确指出消息来源，从而造成了消息的重放。因此，攻击者,P,虽然并不知道消息,2,的真实内容，但,P,可以将消息,2,转发给,A,，使,A,相信消息,2,来源于,P,。,基于上述理由，,Mitchell-Yeun,的改进协议如下：,Woo-Lam,单向认证协议是,Woo,和,Lam,于,1992,年提出的。,S,A,B,42,1,5,2,3,图,2-9 Woo-Lam,协议,针对,Woo-Lam,协议的攻击方法,攻击,1,：,攻击,2,：,攻击,3,：,如果,Woo-Lam,协议所应用的对称密码算法满足交换律，则这种攻击方法可以奏效。,临时值与时间戳,临时值的作用是保证消息的新鲜性，防止消息重放。时间戳和临时值都是用于保证消息的新鲜性的，但它们之间有很重要的区别。使用时间戳时，一般要求各主体的时钟同步，但时间戳并不和某个主体之间关联，任何一个主体产生的时间戳都能被其他主体用来检验消息的新鲜性。临时值则是某个主体产生的随机数值，一个主体只能根据他自己所产生的临时值来检验消息的新鲜性。此外，时间戳不具有唯一性，它通常有一个有效范围，只要它位于这个有效范围内，主体都接受它的新鲜性。因此，在一次会话中使用的时间戳可能在另一次时间上接近的会话中被主体接收为新鲜的。临时值则具有唯一性，任何一个主体在两次会话中产生的临时值在很长一段时间内不可能相同。所以在一次会话中使用的临时值不可能在另一次会话中被主体接收为新鲜的临时值。,认证协议的设计原则,设计目标明确，无二义性；,最好应用描述协议的形式语言，对认证协议本身进行形式化描述；,通过形式化分析方法证明认证协议实现了设计目标；,安全性与具体采用的密码算法无关；,保证临时值和会话密钥等重要消息的新鲜性，防止重放攻击；,尽量采用异步认证方式，特别是防止重放攻击的能力；,具有抵抗常见攻击，特别是防止重放攻击的能力；,进行运行环境的风险分析，做尽可能少的初始安全假设,实用性强，可用于各种网络的不同协议层；,尽可能减少密码运算，降低成本，扩大应用范围。,思考题,试述,Dolev-Yao,攻击者模型的主要内容及其在安全协议研究中的意义。,临时值与时间戳在保证消息新鲜性方面有哪些贡献,?,临时值与时间戳之间有哪些区别,?,“,类型缺陷,”,型攻击的特点是什么,?,在认证协议的设计中，应该如何注意防止类型缺陷型的攻击,?,Thank you,!,